Lektion des Tages bzgl. DNS, TLS & HSTS

#1

Lektion des Tages: Wenn du ein Let’s Encrypt-Zertifikat für eine (Sub-) Domain benutzt, die du per DNS an einen Server auslagerst, der nicht unter deiner Kontrolle ist, dieser Server HSTS benutzt & dann dein Zertifikat ausläuft, hast du ein Problem…
Bin gerade dabei das mit dem jeweiligen Support wieder gerade zu rücken.

#2

Naja, hängt davon ab was mit “unter deiner Kontrolle” gemeint ist. Wenn du dort ein neues Zertifikat hinterlegen kannst ist doch alles okay, oder?

#3

Das kann ich ja gerade nicht, weil die andere Firma den Server hostet. Offenbar haben die einmalig das Zertifikat vom eigentlichen Provider übernommen, aber es müsste die andere Firma das Zertifikat erneuern, weil sie es ja auch an die Clients ausliefert; allerdings verwaltet die Subdomain weiterhin der eigentliche Provider.

#4

Verstehen tue ichs immernoch nicht ganz, aber ich glaube Dir :slight_smile:
Du kannst vermutlich nichts tun, außer auf den neuen Hoster zu warten oder den DNS (temporär) umzubiegen auf einen anderen Hoster/Server. Was für eine Anwendung läuft denn dahinter? Brauchst du dringend eine Lösung?
Hätten da bestimmt was für dich in Petto.

#5

Antwort des Haupt-Providers:

Das Zertifikat müssen Sie auf dem Server erstellen auf den die Domain zeigt. In dem Fall müssen Sie sich an den anderen Anbieter wenden.

Mal sehen was die dazu sagen.

Da läuft unser neues Kundenmanagementsystem Odoo, also absolut unternehmenskritisch…

#6
  • Haupt-Provider ist der hoster, der auf die subdomain antwortet?
  • Wenn du nicht DNS TXT validation von letsencrypt nutzt (und das möchtest du vermutlich nicht, es sei denn dein domain seller hat dafür eine API) stimmt das.
  • Um den Service weiter zu nutzen kannst du natürlich das HSTS Verhalten von deinem Browser umgehen.
  • Gerne via PM oder wire mehr, ich glaube verbally sind wir schneller.
#7

Ich hatte nen Denkfehler drin, natürlich muss das Zertifikat der Hoster, der auf die Subdomain antwortet, anfordern, denn der braucht auch den privaten Schlüssel dazu. Die Frage ist jetzt also im Wesentlichen, ob die Zertifizierungsstelle denen ein Zertifikat für eine Subdomain gibt, die ihnen gar nicht gehört. Aber irgendwie muss das ja gehen, wir sind bestimmt nicht die einzigen mit so nem Szenario.
Aufschlussreicher Eintrag bei Serverfault: https://serverfault.com/questions/765913/do-i-need-a-separate-ssl-certificate-for-a-dns-redirect

#8

Naja wenn da ein Standard-Webserver läuft und die letsencrypt nutzen können ist es doch gar kein Problem (solange du nicht - wie im serverfault post angegeben - nur einen CNAME Eintrag im DNS vorgenommen hast, aber das halte ich für unwahrscheinlich). Kannst du bei dem Hoster, der die odoo subdomain ausliefert selber ein Zertifikat hinterlegen? Dann könnten wir uns ja schnell eins besorgen (DNS einstellungen auf einen eigenen Server biegen, dort letsencrypt/acme.sh/anderenlieblingsclient laufen lassen, zertifikat abholen, Zertifikat auf odoosubdomainhoster installieren, DNS zurückbiegen).

#9

Na eben gerade nicht - ich kann da nur aufs Odoo-System selbst zugreifen, nicht mal auf die Datenbank die dahinter liegt. Eben hab ich denen noch mal ne Mail hinterhergeschickt, dass wir ja unsere monatliche Hostinggebühr zahlen, damit genau so was nicht passiert.

#10

Na also, geht doch:

Das Zertifikat für die Domain tickets.diamond-lotus.de wird nun automatisiert vor Ablauf erneuert.

#11

Issue in einem Tag gelöst - aber trotzdem, etwas fishy. Vielleicht magst du noch den gogglemap-screenshot und link auf zB https://tickets.diamond-lotus.de/event/tantra-training-3-2020-09-09-2020-09-13-10/register ersetzen. Macht meinungsmeister das hosting?